Welcome, Guest. Please login or register.
Did you miss your activation email?

Author Topic:  neuer Artikel zur Installation eines verschl. Systems  (Read 14287 times)

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Hallo zusammen,
da ich gerade mit Verschlüsselung (LUKS) im Zusammenhang mit Logical Volume Manager experimentiere habe ich einen neunen Artikel im Wiki erstellt der die Installation von siduction in einem verschlüsselten System beschreibt.

Der Artikel gliedert sich in zwei Installationsvarianten, nachzulesen hier unter Verschlüsseltes System mit LUKS/dm-crypt und LVM aufsetzen

Verbesserungsvorschläge und Fehlerkorrekturen sind natürlich erwünscht.

Offline Lanzi

  • User
  • Posts: 1.777
neuer Artikel zur Installation eines verschl. Systems
« Reply #1 on: 2013/07/30, 12:57:56 »
finde gut, dass Du sowas sauber dokumentierst. Sich da einzuarbeiten ist eine Welt für sich und für Laien nicht einfach.
Danke!

hefee

  • Guest
RE: neuer Artikel zur Installation eines verschl. Systems
« Reply #2 on: 2013/07/30, 13:04:06 »
um bei variante 1 nicht sooft das PW einzugeben, kann auch mit einer schlüsseldateien, die auf root liegen gearbeitet werden.

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
RE: neuer Artikel zur Installation eines verschl. Systems
« Reply #3 on: 2013/07/30, 13:28:44 »
@hefee:
stimmt da hast du Recht. Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz). Auch funktioniert das meines Wissens nur für Nicht-Root-Filesysteme. Das heißt, einmal musst du mindestens ein Passwort eingeben ;-)

@Lanzi:
Das Thema ist eigentlich gar nicht so schwer zu verstehen, wenn man erst mal kapiert hat das LUKS/dm-crypt eine weitere logische Schicht zwischen der HW und dem Dateisystem ist, ähnlich wie der LVM auch. Es ist aber genial wie sich die beiden ergänzen ;-)

Wenn ihr beide Lust habt könnt anhand des Artikel das Szenario mal durchspielen sprich installieren und mir Feedback geben, wo etwas noch nicht passt von der Anleitung.

hefee

  • Guest
RE: neuer Artikel zur Installation eines verschl. Systems
« Reply #4 on: 2013/07/30, 14:23:57 »
Ich werde jetzt erstmal keine Installation durchführen :D Ich habe ja auch auch schon einen Artikel im dasmals noch Aptosid Wiki geschrieben :) Es hat sich ja seit dem eigentlich nicht viel geändert, außer das die Nachbearbeitung weniger geworden ist. Aber deswegen bin ich auch ziemlich sicher das deine Anleitung passt.

Siehe:
http://wiki.siduction.de/index.php?title=Installation_auf_einer_verschlüsselten_Festplatte

Offline Lanzi

  • User
  • Posts: 1.777
RE: neuer Artikel zur Installation eines verschl. Systems
« Reply #5 on: 2013/07/30, 15:58:21 »
@bluelupo:
ich nutze Luks / dm-crpt seit Jahren. Hattest mir damals bei der Einrichtung ehr geholfen. Muss noch zu aptosid oder gar sidux-zeiten gewesen sein.

Das einzige was ich nicht nutze ist LVM.
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #6 on: 2013/07/30, 16:02:06 »
Quote from: "Lanzi"

[...]
Festplattenweise habe ich den Eindruck ne bessere Übersicht zu haben.

@Lanzi: verstehe ich ich nicht wie das meinst?

Offline Lanzi

  • User
  • Posts: 1.777
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #7 on: 2013/07/30, 17:31:27 »
in meinem Server stecken mehrere Platten, und wen ich diese einzeln ansteuer, dann erscheint es mir übersichtlicher. Als LVM wäre das doch dann eher ein Verbund, oder?
Wie gesagt LVM abe ich mich nie eingearbeitet.

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #8 on: 2013/07/30, 17:47:45 »
Hi Lanzi,
der LVM geht völlig transparent mit der Physik sprich Disks um. Du kannst alle Disks (PV's) in eine Volumegroup (VG) packen, das vom OS dann als ein Device erkannt wird. Diese VG enthält wiederum die logischen Container für das Dateisystem, die Logical Volumes (LV). Du kannst aber auch jede einzelne Disk in eine VG packen und sie quasi wie ein sd*-Device behandeln.

Bei einem Server würde ich immer den LVM einsetzen, da dieser zB. die Backupstrategie doch sehr erleichtert (Stichwort Snapshot). Ein weiterer Vorteil ist die eingebaute RAID1-Funktionalität (Spiegelung) des LVM. Von den Online-Größenänderungen der Dateisysteme ganz zu schweigen ;-)

Ich habe eine langjährige Erfahrung mit dem LVM und kann nur positives berichten und habe ihn zu schätzen gelernt.

Offline cryptosteve

  • User
  • Posts: 675
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #9 on: 2013/07/30, 21:02:10 »
Quote from: "bluelupo"
Aber wenn dann würde ich die Schlüsseldateien auf einen USB-Stick legen, auf das verschlüsselte Device die Keys zu legen macht für mich keinen Sinn (Zugriffsschutz).

Das verstehe ich nicht. Warum genau ergibt das keinen Sinn?
- born to create drama -
CS Virtual Travel Bug: VF6G5D

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #10 on: 2013/07/31, 08:23:31 »
Hi Steve,
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?

Offline ayla

  • User
  • Posts: 1.744
neuer Artikel zur Installation eines verschl. Systems
« Reply #11 on: 2013/07/31, 10:12:43 »
Hi,

ich verstehe nicht ganz welchen Sinn ein verschlüsseltes System macht wenn ich dann keinen Schlüssel brauche um das System hoch zu fahren?

Gruß
ayla (etwas verwirrt)

Offline cryptosteve

  • User
  • Posts: 675
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #12 on: 2013/07/31, 12:23:05 »
Quote from: "bluelupo"
die Schlüsseldateien sollen einem doch die Passworteingabe ersparen, d.h. dann aber im Fall der Ablage auf der Festplatte dass das System an dieser Stelle automatisch hochfährt, da die Schlüsseldateien immer vor Ort liegen. Einen USB-Stick muss ich im Gegensatz dazu aktiv an's System anstecken. Verstehe ich da etwas falsch?

Ja, Du verstehst was falsch. /boot ist unverschlüsselt und lädt die initrd. Dann gibst Du das Passwort ein, um / aufzuschließen. Darauf liegen dann die Keys für alle weiteren Partitionen, sodass Du nur einmal ein Passwort eingeben musst, obwohl mehrere Partitionen einzeln verschlüsselt sind.
- born to create drama -
CS Virtual Travel Bug: VF6G5D

Smon

  • Guest
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #13 on: 2013/07/31, 14:32:34 »
Wieso unter debian nicht /lib/cryptsetup/scripts/decrypt_derived nehmen?

Offline bluelupo

  • User
  • Posts: 2.068
    • BluelupoMe
Re: RE: neuer Artikel zur Installation eines verschl. System
« Reply #14 on: 2013/07/31, 16:09:04 »
Hi Steve,
ich meinte ich hätte schon im Netz gelesen (finde gerade den Link nicht), das man komplett ohne Passworteingabe nur mit dem physikalischen anstecken eines USB-Sticks, das die Keyfiles für ein oder mehrere verschlüseslte Dateisysteme enthält, das System hochfahren kann.

Im anderen Fall wenn ich den Stick nicht zur Hand habe aber nach den Passwort/Passwörtern gefragt werde. Das die Bootpartition unverschlüsselt sein muss ist mir schon klar.